Home Blogs Le hacktivisme au centre des préoccupations : votre site est-il à risque ? – Edgio
Applications

Le hacktivisme au centre des préoccupations : votre site est-il à risque ? – Edgio

About The Author

Outline

Par : Tom Gorup & Andrew Johnson

Vous avez probablement remarqué que la fréquence des cyberattaques dans les gros titres a considérablement augmenté depuis le début de la guerre entre Israël et le Hamas. Nous avons vu une hausse dans tout, de la dégradation de site aux attaques DDoS en passant par l’exfiltration de données par les hacktivistes du monde entier. Il n’y a pas eu de frontières ni de frontières qu’ils ne sont pas prêts à franchir.

Alors que des attaques plus notables sur des sites hautement publics comme le Jerusalem Post font la une des journaux, une tendance intéressante que nous avons remarquée est la dégradation de sites un à plusieurs sur des cibles moins visibles. Ce que nous entendons par « un à plusieurs » sont des attaques ciblant une seule ressource pour compromettre de nombreux sites Web. Bon nombre des attaques que nous avons vues, qui prétendent être liées aux intérêts du conflit au Moyen-Orient, se trouvent derrière des IP uniques, ce qui nous a amenés à émettre l’hypothèse que bon nombre de ces acteurs de menace (TA) obtiennent l’accès à une seule ressource vulnérable ou application qui leur permet de manipuler n’importe quel site situé derrière ce proxy ou sur ce serveur. La majorité des attaques que nous avons vues qui suivent ce modèle ont profité des fournisseurs d’hébergement. Nous considérons ces attaques opportunistes et par conséquent ne retirons personne de la liste des cibles potentielles, Internet est leur cible.

LE SYSTÈME DE CYBER-ERREUR DE l'acteur de menace fléchit après plusieurs dégradations de site, le tout sur une seule adresse IP

Au cours des deux dernières semaines, nous avons analysé les dégradations de sites annoncées publiquement sur les forums de hackers, et ce que nous avons trouvé était un peu inattendu et certainement intéressant. Par exemple, sur les 4 069 attaques de dégradation de site signalées par les hacktivistes au cours des deux dernières semaines, nous avons trouvé 3 480 domaines uniques ciblés, mais limités à seulement 1 426 adresses IP uniques. En allant plus loin, nous avons trouvé seulement environ 271 ASN (Autonomous System Numbers) uniques associés à la même liste cible.

Ces statistiques en disent long sur les types de cibles que ces hacktivistes recherchent. Si vous vous demandez toujours si votre propre site est à risque… Eh bien, c’est le cas! Vous pourriez penser que les sites moins fréquentés sont trop petits pour être pris dans cette guerre, mais la réalité est que les attaquants saisissent toutes les occasions qu’ils peuvent avoir pour afficher leur drapeau sur le site de quelqu’un au nom de l’hacktivisme. Bien que nous ne puissions pas parler des motivations de chaque TA individuel, il est probable que la plupart ont un certain désir de gagner en crédibilité et de stimuler la fierté alors qu’ils postent dans une salle remplie de personnes attendant de célébrer leurs succès. Passons en revue quelques exemples pour illustrer notre hypothèse.

Acteur de la menace : SanRei

Dans cet exemple, regardons un TA qui porte le nom SanRei. Cet individu a ciblé 69 domaines uniques sur 23 adresses IP uniques et 15 ASN Soixante-douze pour cent des cibles de SanRei se situent dans l’ASN d’un seul fournisseur d’hébergement.

De plus, après avoir analysé neuf domaines, nous avons trouvé que plusieurs des sites contenaient le même texte/copie, mais avec des graphiques, des mises en page et des thèmes différents. Les sites semblent certainement liés. Si l’TA a créé et contrôlé les sites, qu’ils ont plus tard altéré et dont ils se sont vantés dans un canal Telegram, est difficile à prouver, mais c’est certainement une forte possibilité.

Les sites Web avec un contenu très similaire, hébergés sur la même IP, ont affirmé plus tard avoir été altérés par SanRai.

Acteur de menace : ./BRILLANT

Après avoir examiné le travail d’un TA qui va par le nom ./BRILLIANT, nous trouvons cet individu ciblé 1 112 domaines uniques à travers 229 adresses IP uniques et 61 ASN Soixante-dix pour cent des domaines ciblés ./BRILLIANT se trouvent dans l’ASN de l’Universitas Gadjah Mada. Il semble probable que ./BRILLIANT ait trouvé une vulnérabilité dans une seule application hébergeant un certain nombre de blogs individuels sur *.web.ugm.ac.ID.

Successful attacks were highly concentrated on a single ASN

À première vue, ./BRILLIANT semble avoir compromis plus de 700 sites Web, mais la réalité probable est qu’ils en ont éclaté un et ont exploité cet accès pour manipuler de nombreux blogs individuels. Le compromis un-à-plusieurs réussi.

Acteur de la menace : AnonCyber504_ID

Ces hacktivistes ne se sont pas contentés de cibler de faux sites Web et blogs, les sites Web d’entreprises légitimes figurent également dans leur liste de cibles. L’acteur de menace AnonCyber504_ID a ciblé 60 domaines uniques sur 37 adresses IP uniques et 16 ASN Quarante-six pour cent des cibles d’AnonCyber504 se situent dans l’ASN d’un fournisseur d’hébergement, et beaucoup semblent appartenir à des entreprises légitimes.

Message left by AnonCyber504 on legitimate business websites

Bien qu’aucun des sites dégradés que nous avons examinés n’appartient à une entreprise du Fortune 500, le point ici est que les hacktivistes et autres agents de transfert semblent cibler des sites sans distinction, qu’ils soient grands ou petits, gouvernementaux ou privés.

Conclusion

Nous sommes sûrs que vous avez déjà entendu parler de la plupart d’entre eux auparavant, mais que peut-on faire pour protéger son site Web contre les attaques hacktivistes un à plusieurs ?

Authentification multi-facteur
êtes-vous fatigué de voir cela sur la liste des recommandations encore? Il y a un dicton : « quand vous en avez assez de le dire, les gens commencent à l’entendre. » Dans ce cas, assurez-vous que l’authentification MFA est appliquée sur tous les comptes ayant accès à vos ressources Web et à vos panneaux d’administration.

Protection des noeuds d’extrémité
nous savons que vous avez peut-être ce projet de déploiement de la protection des noeuds d’extrémité qui s’est arrêté il y a six mois. Faites-le tourner à nouveau, il est temps d’en faire une priorité. Cela peut contribuer grandement à réduire votre charge de travail de sécurité à l’avenir.

Gestion des correctifs l’application de correctifs
est une tâche ingrate qui s’exécute pour toujours, mais elle est extrêmement nécessaire. Comment pensez-vous que ces attaques un à plusieurs ont lieu ? Prenez le temps de construire un bon programme, vous vous en remercierez sur le long terme.

Protection des applications Web et des API
Comme nous l’avons mentionné précédemment, l’application de correctifs est difficile, mais lorsque vous exploitez un pare-feu d’application Web (WAF) de qualité, en particulier un pare-feu fourni dans le cloud avec protection DDoS intégrée, sécurité API, et la gestion des bots, vous serez en mesure de respirer plus facilement en sachant que vous pouvez rester protégé entre le moment où une vulnérabilité est découverte et un correctif est déployé, avec des fonctionnalités comme le correctif virtuel.

Protégez tous vos sites
alors que la plupart des organisations matures ont mis en place un grand nombre de ces protections, les activités récentes menées par les hacktivistes soulignent l’importance de protéger tous vos actifs Web, et pas seulement vos sites « joyaux de la couronne ».

Éducation des utilisateurs
cette phrase crée tellement de nausées, mais nous pensons qu’elle est complètement sous-estimée. Cela ne nous surprendrait pas si la majorité de ces compromis un à plusieurs commençaient par une attaque de phishing. Prenez le temps de vous assurer que votre équipe comprend pourquoi tous ces contrôles de sécurité sont nécessaires. La clé ici est de s’assurer que c’est opportun, pertinent et engageant. Vous avez du mal à le rendre attrayant ? Communiquez avec nous ; notre équipe a une tonne d’idées pour vous aider.

Pour en savoir plus sur la solution primée WAAP (Web application and API protection) d’Edgio , contactez l’un de nos experts en sécurité dès aujourd’hui.